20 мая, пятница
Санкт-Петербург
Войти

Стоит ли опасаться раскрытия номера телефона через Telegram? И чем известна компания, которая продвигает программу по деанонимизации пользователей мессенджера

Вчера «Известия» сообщили, что российский «Центр исследований легитимности и политического протеста» создал программу для определения номера телефона пользователей Telegram по юзернейму. Со слов руководителя этого центра Евгения Венедиктова сообщалось, что программа «Криптоскан» направляет запрос, содержащий юзернейм, в Telegram, и приложение выдает недостающие данные пользователя — ID, номер телефона, фамилию и имя. Венедиктов утверждал, что «Центр исследований легитимности и политического протеста» уже начал искать пользователей по запросу МВД и ФСБ. The Village решил разобраться, какую угрозу для информационной безопасности пользователей Telegram может представлять эта программа, а заодно выяснил, чем еще успели прославиться ее создатели.

Текст

Елизавета Подколзина

Текст

Юлия Радкевич

Текст

Илья Гарькуша

Есть ли у Telegram проблема с деанонимизацией пользователей


Алексей Парфентьев

ведущий аналитик «СерчИнформ»

Я отношусь к этой новости скептически: API-интерфейс Telegram создан давно, хорошо описан и задокументирован. Там всегда были методы, позволяющие получать на запрос телефон, никнейм, имя или фамилию. Важно, что эти данные доступны по умолчанию, но их реально скрыть в настройках. Может ли «Центр исследований легитимности и политического протеста» получить закрытую информацию — очень сомневаюсь. Мы не нашли подтверждений тому, что анонимный номер выдается. Также мы пробовали зайти на сайт, но он недоступен. Так что связаться с Центром и задать вопросы нам не удалось.

На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК

Поражает масштаб раскрутки этой новости — она по факту и не новость. А действительно серьезные проблемы у мессенджеров не выходят за пределы специализированных СМИ или даже форумов. К примеру, пару лет назад специалисты ИБ компании CheckPoint нашли способ, позволяющий незаметно для владельца получать доступ к телеграм-переписке и даже отправлять сообщения от чужого имени. На рынке не первый год есть специализированные корпоративные системы, которые могут перехватывать телеграм-трафик: тексты, файлы и звонки, если коммуникация ведется с ПК.

Действия Центра не нарушают законодательство. По закону о регулировании деятельности сервисов обмена электронными сообщениями все мессенджеры должны быть привязаны к номеру телефона.


Антон Фишман

руководитель департамента системных решений Group-IB

Никакой новой уязвимости нет. Это некая недокументированная возможность, у программистов называемая «фича». О ней известно уже более двух лет, и те, кто додумался, как ей пользоваться, делают это давно и без проблем. Ее применение не является ошибкой разработчиков и не противоречит законодательству.

Для регистрации в мессенджере Telegram вы указываете свой телефон и выбираете себе никнейм. Последнее можно не делать, тогда к вам нельзя будет обратиться в чате и пользователи не смогут вас найти по никнейму. В любом случае Telegram попросит вас указать свое имя, и именно его будут видеть пользователи при переписке в чатах.

Если вы добавляете себе в телефонную книжку номер человека, который, как и вы, является пользователем Telegram, он тут же появляется у вас в мессенджере. В его профайле вы можете увидеть его ник и связать его с номером телефона и другой его информацией.

Однако речь не идет о том, что каждый из нас по нику может узнать номер. Для того, чтобы связать одно с другим, необходимо создать базу данных, которая и станет вашим связующим звеном. Различные аналитические и исследовательские агентства, компании, занимающиеся информационной безопасностью, и другие организации уже давно пользуются этой возможностью для установления контактов. Примитивно это выглядит так: берется несколько сим-карт, на них заводятся различные номера телефонов и методом брутфорса — то есть простого перебора номеров — обнаруживается соответствие номера телефона и ника в Telegram. Таким образом создается некая база данных, удобная для поиска: введя ник, можно получить номер телефона, введя номер телефона — найти ник.

Ранее, год или два назад, можно было просканировать фактически все пространство российских телефонов и, если такая задача стояла, получить все ники. Этим пользовались и кибербезопасники, и злоумышленники

Естественно, мессенджер вводит определенные правила и ограничения, чтобы пресечь попытки использовать свою платформу в сомнительных целях. Например, есть ограничения по поиску на один номер телефона, по добавлению больше определенного количества контактов и другие. Но эти правила вводились постепенно. Ранее, год или два назад, можно было просканировать фактически все пространство российских телефонов и, если такая задача стояла, получить все ники. Этим пользовались и кибербезопасники, и злоумышленники.

К сожалению, мы не видели продукта, о котором пишут сегодня СМИ, и допускаем, что это сделано в целях PR. Ясно одно: просканировать диапазон даже в один миллиард номеров по одной стране — не так сложно. Взять и сделать это по всем номерам телефонов во всех странах — уже серьезная задача. Те, кто имеют доступ к продукту, могут провести простой тест: если наше предположение о наличии базы контактов, которая и позволяет связать номера, верно, то вы не сможете найти по никнейму телефон человека, который зарегистрирован на зарубежный номер телефона.

Те, кому критично сохранить анонимность, как правило, пользуются анонимным сим-картами, которые можно приобрести в Darknet или попросту купить в других странах. А среднестатистический пользователь, который просто не хочет всем подряд показывать свой номер телефона, общается с другими такими же среднестатистическими пользователями, у которых доступа к подобным базам данных нет и идей насчет брутфорса — тоже.


Волонтеры Telegram

(служба поддержки мессенджера)

Что говорят в Telegram

Ваш номер скрыт. Собеседник видит его только в трех случаях:

— Если номер уже есть у него в телефонной книге.

— Если вы сами поделились номером с помощью кнопки «Отправить свой телефон».

— Если в вашей телефонной книге есть его номер и вы ему пишете — как если бы он получил от вас эсэмэску.

Во всех остальных случаях (например, если кто-то нашел вас через поиск или в групповом чате) пользователям не видно ваш номер.


Разработчики с элдэпээровским прошлым

Согласно базе данных «Картотека», под таким названием зарегистрировано два юридических лица: в 2014 году — автономная некоммерческая организация в Москве, а в 2016-м — ООО в Великом Новгороде. Учредитель обоих юрлиц — Евгений Венедиктов, в случае с ООО единственный. В АНО соучредителей всего четыре, в их число входили бывший координатор московского отделения ЛДПР Борис Чернышов и бывший кандидат в депутаты Мосгордумы от этой же партии Роман Протасов. Венедиктов, как писала в прошлом году «Новая газета», ранее занимал пост заместителя координатора московского отделения ЛДПР.

По данным «Новой газеты», Венедиктов начинал карьеру в Новгороде корреспондентом программы «Криминальная среда» телекомпании «Триада» и ездил в ДНР и ЛНР с гуманитарной помощью. На странице Венедиктова в Facebook сказано, что он окончил факультет социологии и политологии МГУ, работал репортером в телекомпании НТВ, был и.о. главного редактора «Первого антикоррупционного СМИ», а сейчас помимо своего центра руководит интернет-ресурсом dictator.today (информации о проекте на сайте нет, есть только форма для обратной связи с редакцией). В последней публикации на своей странице Венедиктов интересовался, где найти хорошего эдвайзера в блокчейн-проект, а в комментариях к посту рассказывал: «У нас два проекта на базе блокчейн. Один — без ICO, социальноориентированный гуманитарный проект. Второй — с ICO, маркировка продуктов питания».

Сайт Центра вчера в выдаче поисковых браузеров индексировался как небезопасный для пользователей, зайти туда можно было, только вручную поменяв настройки безопасности (сегодня он открывается без ограничений). Про «Криптоскан» информации не было, зато рекламировалась программа мониторинга экстремистского контента в соцсетях под названием «Демон Лапласа». В прошлогоднем интервью «Новой» Венедиктов утверждал: «„Демон Лапласа“ — это не стартап и не отработка грантов. Сумму, затраченную на создание, мы не считали и не даем по этому поводу отчет: мы не брали на создание программы ни у кого денег». По его словам, над «Демоном» — комплексом из 20 программ — в разное время в конце 2016 года трудились от двух до семи человек.

The Village удалось связаться с Венедиктовым вчера около 17:30. Он заявил, что «время уже позднее, весь день отвечал на звонки» и пообещал ответить на вопросы письменно — однако до момента публикации не ответил и на телефонные звонки больше не отвечал.

Share
скопировать ссылку

Читайте также:

Авторы популярных Telegram-каналов — о возможной блокировке мессенджера
Авторы популярных Telegram-каналов — о возможной блокировке мессенджера The Village поговорил с ними о том, что они думают об этой ситуации
Авторы популярных Telegram-каналов — о возможной блокировке мессенджера

Авторы популярных Telegram-каналов — о возможной блокировке мессенджера
The Village поговорил с ними о том, что они думают об этой ситуации

«Я зарабатываю в Telegram»
«Я зарабатываю в Telegram» Основатели телеграм-каналов — о том, сколько они получают за рекламу в мессенджере
«Я зарабатываю в Telegram»

«Я зарабатываю в Telegram»
Основатели телеграм-каналов — о том, сколько они получают за рекламу в мессенджере

Какие VPN-сервисы используют профессионалы
Какие VPN-сервисы используют профессионалы Люди, которым VPN нужен по работе, рассказывают про самые удобные сервисы
Какие VPN-сервисы используют профессионалы

Какие VPN-сервисы используют профессионалы
Люди, которым VPN нужен по работе, рассказывают про самые удобные сервисы

Тэги

Сюжет

Прочее

Новое и лучшее

«Могилизация»: откуда взялись слухи о возможной мобилизации в России

Как прошло 9 мая в Москве и Петербурге

В Москве Z-активисты устроили автопробег и угрожали авторке The Village полицией

Продавцы Z-футболок — о блокировке товара, пожеланиях сдохнуть и отношении к «спецоперации»

«Это позволяло не свихнуться»: как сотрудники провластных медиа саботируют их работу

Первая полоса

«Нет состава правонарушения»: Как прекращают дела о «дискредитации» армии
«Нет состава правонарушения»: Как прекращают дела о «дискредитации» армии
«Нет состава правонарушения»: Как прекращают дела о «дискредитации» армии

«Нет состава правонарушения»: Как прекращают дела о «дискредитации» армии

Кто такой Михаил Иосилевич, почему его могут посадить на 4,5 года и при чем тут Храм Летающего макаронного монстра?
Кто такой Михаил Иосилевич, почему его могут посадить на 4,5 года и при чем тут Храм Летающего макаронного монстра?
Кто такой Михаил Иосилевич, почему его могут посадить на 4,5 года и при чем тут Храм Летающего макаронного монстра?

Кто такой Михаил Иосилевич, почему его могут посадить на 4,5 года и при чем тут Храм Летающего макаронного монстра?

Обыкновенный нацизм: Как в «МуZее Победы» на Поклонной горе открыли выставку, оправдывающую ***** в Украине
Обыкновенный нацизм: Как в «МуZее Победы» на Поклонной горе открыли выставку, оправдывающую ***** в Украине Маффины в полевой кухне, танки и кружки со свастикой
Обыкновенный нацизм: Как в «МуZее Победы» на Поклонной горе открыли выставку, оправдывающую ***** в Украине

Обыкновенный нацизм: Как в «МуZее Победы» на Поклонной горе открыли выставку, оправдывающую ***** в Украине
Маффины в полевой кухне, танки и кружки со свастикой

Что известно о поджогах военкоматов после начала *****

И что об этом пишут в интернете

Я уехал из России, а мой работодатель — нет. Как мне теперь платить налоги?
Я уехал из России, а мой работодатель — нет. Как мне теперь платить налоги? И может ли налоговая узнать, где я нахожусь
Я уехал из России, а мой работодатель — нет. Как мне теперь платить налоги?

Я уехал из России, а мой работодатель — нет. Как мне теперь платить налоги?
И может ли налоговая узнать, где я нахожусь

Бан, кик и переезд: Как ***** повлияла на российский киберспорт
Бан, кик и переезд: Как ***** повлияла на российский киберспорт
Бан, кик и переезд: Как ***** повлияла на российский киберспорт

Бан, кик и переезд: Как ***** повлияла на российский киберспорт

Отрывок из книги «Быть скинхедом. Жизнь антифашиста Сократа»
Отрывок из книги «Быть скинхедом. Жизнь антифашиста Сократа» «ФСИН — это наследие ГУЛАГа, система работает на уничтожение человека»
Отрывок из книги «Быть скинхедом. Жизнь антифашиста Сократа»

Отрывок из книги «Быть скинхедом. Жизнь антифашиста Сократа»
«ФСИН — это наследие ГУЛАГа, система работает на уничтожение человека»

Что слушать про *****
Что слушать про ***** Подборка антивоенных подкастов — от ежедневных новостей до гайдов по психотерапии
Что слушать про *****

Что слушать про *****
Подборка антивоенных подкастов — от ежедневных новостей до гайдов по психотерапии

«Только для всех»: Как устроен кластер «Нормальное место» на «Севкабеле»

«Только для всех»: Как устроен кластер «Нормальное место» на «Севкабеле»

«Только для всех»: Как устроен кластер «Нормальное место» на «Севкабеле»

«Только для всех»: Как устроен кластер «Нормальное место» на «Севкабеле»

Философ Теодор Адорно — о восприятии военных преступлений, культуре и лжи в нацистской Германии
Философ Теодор Адорно — о восприятии военных преступлений, культуре и лжи в нацистской Германии
Философ Теодор Адорно — о восприятии военных преступлений, культуре и лжи в нацистской Германии

Философ Теодор Адорно — о восприятии военных преступлений, культуре и лжи в нацистской Германии

Интервью художника, который хотел выразить протест против ***** так, как еще никто не делал в России
Интервью художника, который хотел выразить протест против ***** так, как еще никто не делал в России «Важно не просто уехать, а что-то сделать»
Интервью художника, который хотел выразить протест против ***** так, как еще никто не делал в России

Интервью художника, который хотел выразить протест против ***** так, как еще никто не делал в России
«Важно не просто уехать, а что-то сделать»

«Это позволяло не свихнуться»: как сотрудники провластных медиа саботируют их работу
«Это позволяло не свихнуться»: как сотрудники провластных медиа саботируют их работу
«Это позволяло не свихнуться»: как сотрудники провластных медиа саботируют их работу

«Это позволяло не свихнуться»: как сотрудники провластных медиа саботируют их работу

В Петербурге хотят переименовать переулок Тинькова, названный в честь выдуманного предка бизнесмена
В Петербурге хотят переименовать переулок Тинькова, названный в честь выдуманного предка бизнесмена Почему сейчас?
В Петербурге хотят переименовать переулок Тинькова, названный в честь выдуманного предка бизнесмена

В Петербурге хотят переименовать переулок Тинькова, названный в честь выдуманного предка бизнесмена
Почему сейчас?

Почему мы злимся на близких во время ***** и как с этим бороться
Почему мы злимся на близких во время ***** и как с этим бороться Объясняют психолог и психиатр
Почему мы злимся на близких во время ***** и как с этим бороться

Почему мы злимся на близких во время ***** и как с этим бороться
Объясняют психолог и психиатр

Продавцы Z-футболок — о блокировке товара, пожеланиях сдохнуть и отношении к «спецоперации»
Продавцы Z-футболок — о блокировке товара, пожеланиях сдохнуть и отношении к «спецоперации»
Продавцы Z-футболок — о блокировке товара, пожеланиях сдохнуть и отношении к «спецоперации»

Продавцы Z-футболок — о блокировке товара, пожеланиях сдохнуть и отношении к «спецоперации»

Как Виталий Терлецкий бросил карьеру агронома и стал темной звездой мира инди-комиксов
Как Виталий Терлецкий бросил карьеру агронома и стал темной звездой мира инди-комиксов
Как Виталий Терлецкий бросил карьеру агронома и стал темной звездой мира инди-комиксов

Как Виталий Терлецкий бросил карьеру агронома и стал темной звездой мира инди-комиксов

Миллиардные инвестиции, «лояльные» блогеры и регистрация через «Госуслуги»: Как устроен Rutube, который взломали хакеры
Миллиардные инвестиции, «лояльные» блогеры и регистрация через «Госуслуги»: Как устроен Rutube, который взломали хакеры
Миллиардные инвестиции, «лояльные» блогеры и регистрация через «Госуслуги»: Как устроен Rutube, который взломали хакеры

Миллиардные инвестиции, «лояльные» блогеры и регистрация через «Госуслуги»: Как устроен Rutube, который взломали хакеры

Как прошло 9 мая в Москве и Петербурге

Как прошло 9 мая в Москве и Петербурге

Как прошло 9 мая в Москве и Петербурге

Как прошло 9 мая в Москве и Петербурге

«Могилизация»: откуда взялись слухи о возможной мобилизации в России
«Могилизация»: откуда взялись слухи о возможной мобилизации в России И что будет, если ее правда объявят
«Могилизация»: откуда взялись слухи о возможной мобилизации в России

«Могилизация»: откуда взялись слухи о возможной мобилизации в России
И что будет, если ее правда объявят

Итоги опен-колла «Между нами» — совместного проекта The Village и «Незнания»
Итоги опен-колла «Между нами» — совместного проекта The Village и «Незнания»
Итоги опен-колла «Между нами» — совместного проекта The Village и «Незнания»

Итоги опен-колла «Между нами» — совместного проекта The Village и «Незнания»

Подпишитесь на рассылку